Open brief aan Rob Stewart over de stuurslotcode affaire

[Lucas van Lierop]

Voor de geinteresseerden:
Er liep een posting over iemand die zijn stuurslotcode had gevonden op een briefje in de auto (is mij ook overkomen) en hier een foto van postte. Rob vond dat alles rondom dit briefje en het bestaan ervan geheim zou moeten blijven:
https://www.facebook.com/groups/398795146861189/546066128800756/?notif_t=group_comment_reply

------

Beste Rob,

Ik ken je niet persoonlijk maar voor mij heb je het imago van iemand die veel weet en graag helpt. Gisteren ging dit even zo mis dat je uit een facebook groep gegooid bent, wat jammer is. Omdat je volgens mij vooral hier veel komt i.p.v. op het prikkersforum even deze brief aangezien de discussie nu zomaar strand zonder jou, so wie so een erg interessante discussie!

In eerste instantie begrijp je boosheid als mensen informatie publiek maken die dieven helpt bij het stelen van auto's. Het voorbeeld waar het nu over ging was dat er een briefje bestaat wat zich in de auto kan bevinden waarop de code van het stuurslot staat. Als een dief dit heeft kan ie het stuurslot omzeilen (althans dat gok ik?). Jouw stelling in deze is dat het bestaan en de locatie van die briefje absoluut geheim gehouden zou moeten worden. Dit 'systeem' noemt men ook wel: http://nl.wikipedia.org/wiki/Security_through_obscurity

Security by obscurity wordt vaak gehanteerd door Multinationals, overheden etc. In plaats van het probleem op te lossen houden ze liever onder de pet hoe iets misbruikt/omzeild kan worden. In de software wereld (mijn vak) wordt dit gezien als een lachertje; een vals gevoel van veiligheid zolang het lukt om je beveiliging geheim te houden.

In dit geval:
Waarschijnlijk weten nu al meer dieven dan autobezitters over het briefje. Ik wist het niet anders was ik meteen op zoek gaan naar dat briefje om het veilig te stellen (en velen met mij). Dit is dus een nadeel van zoiets niet publiek bekend maken. Verder leven we in 2013 waarin alles via internet in zeer korte tijd toch wel bekend wordt dus kun je je eigenlijk geen illusies meer maken dat het uberhaupt nog zin heeft.

Het jammere is dat JUIST degene die een beveiligingslek (b.v. code van het stuurslot bij het stuur bewaren) meldt vaak verguisd wordt terwijl het de fout van de fabrikant is!

Mijn mening is: laten vooral het probleem publiek maken en zorgen dat iedereen z.s.m. dat briefje uit zijn auto haalt. Dit kan via fora, facebook, magazines etc, uiteindelijk help je daar mensen meer mee.

Dus ik zou zeggen denk en er nog eens over en Rob en Willem Jan kunnen jullie elkaar wellicht de hand nog schudden?

En nog even wat Security by Obscurity en boze mensen voorbeelden uit de praktijk:
* http://blog.iusmentis.com/2010/11/09/juridische-stappen-met-de-ov-chipkaart/
* http://tweakers.net/nieuws/54617/radboud-mag-onderzoeksrapport-mifare-hack-publiceren.html
* http://www.autoblog.nl/nieuws/rechter-verbiedt-publicatie-hackers-vw-encryptiesysteem-60628
* http://tweakers.net/nieuws/85021/onderzoeker-legt-ernstig-beveiligingsgat-in-pacemakers-bloot.html

Groet

[Edward]

De post is voor mensen die op Fb niet aan Rob gelinkt zijn niet te volgen, zijn posts zijn dan onzichtbaar. Verder vind ik dat iemand uit een groep, forum of welke discussie dan ook gooien een zwaktebod.

Als Willen-Jan en consorten de passie van Rob willen verwarren met boosheid of wat dan ook dan is dat hun probleem.

Maar ik betwijfel zeer of het zinvol is om die discussie hiernaartoe te halen.

[Landmarcs]

Dag Lucas, Dag Allemaal,

Nog een ander voorbeeld van "Security by Obscurity" hebben we (althans velen van ons) van dichtbij gezien, nl de Nederlandse stemcomputers.

Ook daar was uiteindelijk openheid het beste gebleken - en daarna zijn die obscure systemen in de opslag gegaan.

Mij lijkt dat iedere (on)betrouwbare auto-sloper kennis over zo'n EKA-code-briefje kan verwerven (gewoon door oplettend te slopen, en daarna bij een volgende nog oplettender etc etc) dus is openheid beter als geheimhouding.

De EKA-code zit ook digitaal verborgen in de auto en is uitleesbaar (wellicht met enige digi-bescherming) -- misschien kan ook niet iedereen erbij maar als een dealer de EKA kan terugvinden dan kan "iedereen" het als er even een paar hackers voor gaan zitten.

Dus ... beter is het om bekend te maken als te vertrouwen op security. Security "treft" nl uiteindelijk altijd de verkeerde mensen: de schurken maken misbruik en zijn altijd op zoek naar de winst die ze kunnen maken doordat security een schijnveiligheid is. Uiteindelijk winnen de echte schurken alleen maar meer bij Security. Kijk maar eens naar de identificatie-plicht: de kleine sukkels worden gepakt en/of krijgen een extra boete, de grote schurken hebben het alleen maar makkelijker: er zijn nu heel veel meer ID's in omloop, en dus zijn de gestolen en/of vervalste ID's veel vlotter beschikbaar. De echte schurk loopt dus fluitend door de controle.

Groeten MarcS

PS Ik ben ook geen feestboekgebruiker dus weet ook verder van niks (ook niet waar dat briefje zou moeten liggen).

[ErwinD90]

Helemaal eens met Edward. Het lijkt mij verstandiger hier onderling uit te komen.
Hoewel je argumenten op zich voer zijn voor een interessante discussie, de reden is dat echter niet.

[Landmarcs]

Helemaal mee eens. Het lijkt mij verstandiger hier onderling uit te komen.
Hoewel je argumenten op zich voer zijn voor een interessante discussie, de reden is dat niet.

Ja en nee. Onderling het verschil van inzicht bespreken : Ja.

Nee echter wat het betreft het gewoon maar "geheim" laten.
Een geheim werkt nooit zodra er meer dan één is die ervan weet.
En zodra er meer dan één van weet gaat er vroeger of later wat mis.

Groeten MarcS

[Thomas Td5]

Ik zie echt niet hoe dit iets beter moet maken. Als je het niet eens bent met iemand praat het dan onderling uit. Ik snap dan ook niet hoe deze "open brief" moet helpen noch het plaatsen van een Facebook discussie die mensen mogelijk niet kunnen lezen.

Verder sluit ik me aan bij Edward.

[hannes]

I love Rob! En Rob, ga vooral door met je onafhankelijke, onbaatzuchtige en vakkundige voorlichting over onze zo geliefde automobielen. Stoor je vooral niet aan de kritiek van die azijnpissers! Rule, rule Rob, our World. Mazzel, Han.